Kart suistimallerinin teknolojik boyutu hızla gelişmektedir. Skimming (kart kopyalama), sahte POS cihazları ve kontaktsız ödeme sistemlerinin suistimali, son yıllarda en sık karşılaşılan kart dolandırıcılığı türleri arasında yer almaktadır. Bu makalede, söz konusu fiillerin TCK m.245 çerçevesinde değerlendirilmesi ve mağdurun başvurabileceği hukuki yollar ele alınmıştır.

Hatırlatma: Bu makale yalnızca bilgilendirme amaçlıdır. Yazıdaki ceza aralıkları ve süreçler genel mevzuat çerçevesindedir; somut olayda verilecek karar hâkimin takdir yetkisindedir; sonuç dosyaya özgü değişir.

Kart Kopyalama (Skimming) Nedir?

Skimming, manyetik şeritli veya çipli banka/kredi kartının bilgilerinin özel cihazlarla kopyalanmasıdır. Tipik yöntemler:

  • ATM skimmer: ATM kart yuvasının üzerine yerleştirilen ve kart bilgisini okuyan kılıf-cihaz; çoğu zaman PIN tuşunun yanına gizli kamera da yerleştirilir.
  • POS suistimali: Restoran, mağaza veya benzin istasyonu çalışanının kartı POS dışında ek cihazdan geçirmesi; "el cihazı" ya da kasa altına yerleştirilen mini skimmer.
  • Shimming (çip okuma): ATM kart yuvasına yerleştirilen ince cihazla çipli kartlardan veri okuma. Manyetik şerit kopyalamasından daha gelişmiş bir yöntemdir.
  • Sahte ATM/PoS: Marka ATM görünümündeki sahte cihazlar veya restoranda gerçek POS gibi gösterilen sahte cihazlar.

Kopyalanan kart bilgileri ile sahte fiziksel kart üretilebilir veya internet üzerinden işlem yapılabilir.

Hukuki Çerçeve — TCK m.245/2 ve m.245/3

Skimming sonucu yapılan eylemler genellikle TCK m.245'in ikinci ve üçüncü fıkraları kapsamına girer:

TCK m.245/2 — Sahte Kart Üretimi

"Başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul eden kişi" hakkında mevzuata göre öngörülen ceza aralığı 3 yıldan 7 yıla kadar hapis ve 10.000 güne kadar adli para cezasıdır.

TCK m.245/3 — Sahte Kartla Yarar Sağlama

"Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi" hakkında mevzuata göre öngörülen ceza aralığı 4 yıldan 8 yıla kadar hapis ve 5.000 güne kadar adli para cezasıdır.

Bu hâllerin akraba istisnasından (TCK m.167) yararlanma imkânı yoktur; cezayı kaldıran/azaltan kişisel sebepler uygulanmaz. Konu hakkında detay için Yakın Akraba İstisnası ve TCK m.245 İlişkisi makalemize bakabilirsiniz.

Sahte POS ile Dolandırıcılık

Yasadışı bahis siteleri, sahte e-ticaret siteleri veya gerçek olmayan ödeme noktalarında sahte POS sistemleri kurulabilir. Bu durumda:

  • Müşteri ödeme yaptığını sanır, ancak gerçekte para çekildikten sonra hizmet veya ürün teslim edilmez.
  • Kart bilgileri ele geçirilebilir ve sonraki işlemlerde kullanılabilir.
  • Yargı önünde TCK m.158 (nitelikli dolandırıcılık) ve TCK m.245 birlikte değerlendirilebilir.

Kontaktsız Ödeme Suistimali

Belirli tutar altındaki ödemelerde PIN sorulmadan yapılan kontaktsız (NFC) ödemeler de suistimale açık olabilir:

  • Çalınan veya kaybolmuş kartla küçük tutarlı işlemlerin pin sorulmadan yapılması
  • RFID skimming cihazlarıyla kart yakınında bilgilerin okunması (uygulamada nadir, ancak teorik olarak mümkün)
  • Kontaktsız limit sınırını aşmaya yönelik bölünmüş işlemler

Mevzuat ve banka prosedürleri, kontaktsız işlemlerde kart hamilinin korunmasına yönelik özel hükümler içerir; ancak banka prosedürlerine de uyulmuş olmak gerekir.

Yargıtay Yaklaşımı

Yargıtay 8/12/16. Ceza Daireleri yerleşik içtihadında, skimming dosyalarında aşağıdaki ilkeleri uygulamaktadır:

  • Skimming için kullanılan cihazların ele geçirilmesi TCK m.245/2 sahte kart üretimine yönelik hazırlık olarak değerlendirilebilir.
  • Sahte kart üretimi ile sahte kartla yarar sağlama, ayrı suçlar oluşturup gerçek içtima kuralları (TCK m.42-44) uygulanabilir.
  • Skimming faili tespit edilen dosyalarda; kamera kayıtları, ele geçirilen cihaz adli bilişim raporu, banka ekstre eşleşmeleri, fiziki tanık önemli kuvvetlendirici delillerdir.
  • IP adresi tek başına yeterli sayılmadığı gibi, sadece ATM kamerası kayıtları da diğer delillerle desteklenmelidir. Detay için IP Adresi Tek Başına Mahkûmiyete Yeterli midir? makalemize bakabilirsiniz.

Mağdurun Atması Gereken Adımlar

  1. Bankaya derhal bildirim: Yetkisiz işlem fark eder etmez 7/24 çağrı merkezinden veya mobil uygulamadan kart bloke ettirilmelidir. 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu m.12 uyarınca, bildirim öncesi sınırlı sorumluluk söz konusu olabilirken bildirim sonrası kart hamilinin sorumluluğu doğmaz.
  2. Şubeye yazılı dilekçe: Olayı, kullanılan ATM/POS lokasyonu ve tarih/saat detaylarıyla belgeleyen yazılı dilekçe verin; nüshasını saklayın.
  3. Suç duyurusu: Cumhuriyet Başsavcılığı'na veya kolluğa yazılı suç duyurusunda bulunun. Banka ekstresi, SMS bildirimleri, kullanılan ATM/POS adresi ve mümkünse bu noktanın güvenlik kamera kayıtlarına ilişkin talep dilekçeye eklenmelidir.
  4. Chargeback başvurusu: Kart şemalarının (Visa, Mastercard) kuralları çerçevesinde işlem itirazı yapılabilir. Banka, ürün/hizmet teslim edilmeyen veya sahte işlem niteliğindeki tutarları üye iş yerinden geri talep eder.
  5. Kart koruma uygulamalarını gözden geçirin: Kontaktsız limitini düşürün; sanal kart kullanın; banka SMS/uygulama bildirimlerini etkin tutun.

Bankanın Sorumluluğu

5464 sayılı Kanun m.12 uyarınca:

  • Bildirim öncesi kayıp/çalıntı işlemler için kart hamilinin sınırlı sorumluluğu söz konusu olabilir.
  • Bildirim sonrasındaki işlemlerden kart hamili sorumlu değildir; banka sorumludur.
  • Bankanın güvenlik açıkları (şüpheli işlem alarmlarının çalışmaması, 3D Secure devre dışı işlem yapılması, anormal pattern tespit edilmemesi) durumunda banka aleyhine ek hukuki yollar değerlendirilebilir.

Yargıtay 11. Hukuk Dairesi bu konuda bankanın özen yükümlülüğünü ihlal ettiği dosyalarda banka aleyhine kararlar vermiştir.

Önleyici Tavsiyeler

  1. ATM kullanmadan önce kart yuvasında oynama, gevşeklik veya yapışkan iz olup olmadığını kontrol edin.
  2. PIN girerken diğer elinizle tuşları kapatın.
  3. Mümkünse banka şubesi içindeki ATM'leri tercih edin.
  4. POS işlemlerinde kartınızı görüş alanınızdan çıkarmayın; mümkünse işlemi kendiniz yapın.
  5. SMS bildirimlerini açık tutun; her işlemden anında haberdar olun.
  6. Kontaktsız limitini ihtiyacınız kadar düşük tutun.
  7. Online alışverişlerde sanal kart oluşturmayı tercih edin; gerekli tutarı yatırarak işlemi tamamlayın.
  8. Tarayıcı şifre saklamayın; mümkünse kart bilgilerini kaydetmeyin.

Sıkça Karşılaşılan Hukuki Sorular

ATM'den çekilmediğim hâlde paramı alamadım, banka beni sorumlu tutuyor. Ne yapabilirim?

Bankanın güvenlik prosedürlerine uyulup uyulmadığı, ATM'nin skimming cihazıyla manipüle edilip edilmediği, ATM kameralarının çalışıp çalışmadığı titizlikle araştırılır. Banka aleyhine açılacak hukuki yolları değerlendirmek üzere bir avukatla görüşmeniz önerilir; sonuç dosyaya özgü olup kesin sonuç vaat edilemez.

Restoranda kart bilgim çalındı, sonra başka şehirde kullanılmış. Failin tespiti mümkün mü?

İşlemin yapıldığı POS lokasyonunun kameraları, banka log kayıtları ve ortak nokta analizi ile fail tespit edilmeye çalışılır. Süreç uzun sürebilir; her dosyada sonuç farklı olabilir.

İşlem yaptım ama sahte POS olduğunu sonradan öğrendim. Param geri gelir mi?

Banka chargeback başvurusu ve iadeye yönelik diğer hukuki yollar değerlendirilebilir. Üye iş yerinin gerçek niteliği, ödeme şeması kuralları ve dosyanın delil durumu sonucu etkiler.

Sonuç

Skimming, sahte POS ve kontaktsız ödeme suistimali; teknik karmaşıklığı yüksek, çoklu hukuki ilişkilerin (TCK m.245, m.158, banka sorumluluğu, kart şeması kuralları) iç içe geçtiği bir alandır. Mağdur konumda atılacak adımların hızı kritik öneme sahiptir. Sürecin teknik nitelikleri nedeniyle, dosyanın başından itibaren hem mali müşavir hem de avukatla koordineli çalışılması önerilir.